Il ransomware TargetCompany, noto per i suoi attacchi mirati e le sue continue evoluzioni, ha introdotto una nuova variante chiamata Xollam. Questa variante si distingue per l’uso di un nuovo metodo di accesso iniziale, che si basa su file Microsoft OneNote malevoli. Questo approccio rappresenta una deviazione significativa dalle tecniche precedenti del gruppo, che si concentravano sull’attacco a database Microsoft SQL (MS SQL) vulnerabili.
Xollam e la sua tecnica di accesso iniziale
Xollam utilizza una tecnica pseudo-fileless attraverso PowerShell, che esegue il caricamento riflettivo per scaricare il suo payload. Questo approccio è simile a quello utilizzato nelle campagne di phishing, che utilizzano file Microsoft OneNote come accesso iniziale per diffondere e consegnare malware. I dati sensibili catturati da Xollam vengono poi caricati su un server remoto.
Le varianti precedenti di TargetCompany
Le varianti precedenti di TargetCompany, tra cui Tohnichi, Mallox e Fargo, hanno sfruttato le vulnerabilità nei server MS SQL per l’accesso iniziale. Queste varianti hanno utilizzato tecniche di caricamento riflettivo per evadere le soluzioni antivirus tradizionali, rendendo più difficile per le organizzazioni proteggersi da questi attacchi.
L’evoluzione della minaccia
La famiglia di ransomware TargetCompany ha dimostrato una notevole capacità di adattamento e innovazione. Oltre all’introduzione di Xollam, il gruppo ha anche lanciato un sito di fuga di dati e ha iniziato a utilizzare un canale Telegram per pubblicare informazioni rubate. Questi sviluppi indicano che il gruppo sta cercando di espandere il suo modello di business e di aumentare la sua redditività.